Regras de firewall que causarão problemas para o nmap

Navegue suas respostas
2

Não estou falando apenas de bloquear portas.

Lembro-me de encontrar um host que, quando eu executava uma varredura de tcp normal em nmap hostname , o nmap não retornava nenhum resultado significativo. Estava tendo problemas com os tempos limite. Se eu definir o valor de tempo limite como algo muito baixo e definir --max-retries 0 , ele funcionará.

Alguém sabe de um conjunto de regras iptables que causa problemas para o nmap?

    
por Rook 20.03.2011 / 00:37

3 respostas

2

Se você quiser impedir que o host faça a varredura, poderá usar o método 2:

  1. Método de armadilha:

    iptables -A ENTRADA -p tcp -m multiporta --dports 23,79 --tcp-flags TODOS SYN -m limite --limit 3 / m --limit-burst 6 -m recent --name blacklist --set -j DROP

    iptables -A ENTRADA -m recente --rcheck --nam lista negra -j DROP

  2. Caminho normal:

    iptables -A INPUT -p tcp --syn -m limit --limit 7 / s -m recente --name lista negra --set -j DROP

    iptables -A INPUT -m recente --rcheck --nam lista negra -j DROP

se você quiser impedir que seu host do FIN, ACK, Xmas ou outra verificação me diga atualizar minha resposta.

    
por 20.03.2011 / 16:48
4

Sim. Não me lembro dos detalhes exatos, mas vou procurar por uma 'pergunta' (na verdade, um Wiki da Comunidade) de mim com o título " iptables Dicas e Truques ". Lá, você pode encontrar uma regra do iptables especificamente projetada para o stmap do nmap.

Além disso, implementei um TARPIT target na cadeia INPUT . O TARPIT basicamente "intercepta" qualquer um que tente abrir uma conexão TCP, permitindo o handshake TCP de três vias, mas depois bloqueando o Tamanho da Janela TCP para 0 e eliminando todos os estados referentes a essa conexão no firewall. O host que tentou abrir uma porta agora está preso: a conexão é feita, mas não pode enviar nada e, como nunca recebe um FIN ou RST, ele fica preso no estado Estabelecido TCP até o tempo limite TCP *. Enquanto isso, o firewall apenas toca alegremente, já que caiu todos os estados daquela conexão, portanto nenhum recurso está sendo usado.

Uma combinação dos dois conseguiu com sucesso todos os tipos de scanners de portas. Eles morrem quando tocam no meu firewall:)

* TCP timeout é um lote maior que o tempo limite do TCP SYN. Cerca de três ordens de magnitude a mais, IIRC. Assim, os scanners de ports serão executados extremamente lentamente conforme seus encadeamentos ficarem presos esperando pelo tempo limite do TCP.

    
por 20.03.2011 / 05:31
1

você pode encontrar este teste, ele descreve como detectar e bloquear Portscans em tempo real.

    
por 12.07.2011 / 06:32

Tags

Serviço RH / CentOS e equivalentes chkconfig no Ubuntu / Debian Gerenciamento de rede Plano de necessidades confuso e feio [fechado]